Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) SparrowDoor Backdoor-varianten

SparrowDoor Backdoor-varianten

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Achterdeurtjes
Vertalen naar:
Nederlands

De Chinese cyberespionagegroep FamousSparrow is in verband gebracht met nieuwe aanvallen op een Amerikaanse handelsorganisatie en een Mexicaans onderzoeksinstituut, waarbij de beruchte SparrowDoor- backdoor werd ingezet naast de ShadowPad- malware. De activiteit, waargenomen in juli 2024, markeert de eerste keer dat de groep ShadowPad heeft ingezet, een tool die vaak wordt gebruikt door Chinese staatsgesponsorde actoren.

De evolutie van SparrowDoor: een meer gesofisticeerde bedreiging

FamousSparrow heeft twee nieuwe varianten van zijn SparrowDoor backdoor geïntroduceerd, waarvan er één modulair is. Deze versies vertegenwoordigen een significante sprong in functionaliteit, met parallelle uitvoering van commando's om de efficiëntie te verbeteren.

Dit markeert een belangrijke upgrade ten opzichte van eerdere versies. Het stelt de malware in staat om opdrachten uit te voeren zoals bestandsbewerkingen en interactieve shell-sessies zonder lopende taken te blokkeren.

Een geschiedenis van spionage: de opmerkelijke aanvallen van FamousSparrow

FamousSparrow werd voor het eerst ontdekt in september 2021 en is in verband gebracht met cyberaanvallen op hotels, overheden, ingenieursbureaus en advocatenkantoren. De groep opereerde eerder onafhankelijk en gebruikte SparrowDoor als exclusief implantaat.

In de loop der tijd hebben onderzoekers tactische overeenkomsten waargenomen tussen FamousSparrow en andere Chinese hackinggroepen zoals Earth Estries, GhostEmperor en Salt Typhoon , waarbij de laatste bekendstaat om het targeten van de telecomsector. Ondanks deze overlappingen blijft FamousSparrow echter geclassificeerd als een aparte dreigingsgroep met unieke kenmerken.

De aanvalsketen: hoe de inbreuk zich ontvouwde

De aanval begint met FamousSparrow die een webshell implementeert op een kwetsbare IIS-server. Hoewel de exacte methode om initiële toegang te verkrijgen onbekend blijft, draaiden beide getroffen organisaties verouderde versies van Windows en Microsoft Exchange Server, waardoor ze de belangrijkste doelwitten waren.

Zodra de webshell op zijn plaats staat, fungeert deze als een startpunt voor een extern batchscript. Dit script voert een Base64-gecodeerde .NET-webshell uit, die uiteindelijk zowel SparrowDoor als ShadowPad op het gecompromitteerde systeem implementeert.

Hoe SparrowDoor werkt: een diepgaande duik in de mogelijkheden ervan

Een van de nieuwe SparrowDoor-varianten vertoont overeenkomsten met Crowdoor, een eerder gedocumenteerde malware. Beide versies introduceren echter substantiële verbeteringen, waaronder:

  • Parallelle taakuitvoering – De backdoor kan meerdere opdrachten tegelijk uitvoeren, waardoor de prestaties worden verbeterd.
  • Dynamische opdrachtverwerking – Opdrachten activeren een nieuwe thread, die een aparte verbinding met de Command-and-Control (C&C)-server tot stand brengt.
  • Slachtoffertracking – Elke verbinding bevat een unieke slachtoffer-ID en opdracht-ID, waardoor de C&C-server lopende taken efficiënt kan beheren.

SparrowDoor is uitgerust met een reeks mogelijkheden die de functionaliteit ervan verbeteren. Het kan een proxy instellen, geheime communicatie toestaan en interactieve shell-sessies starten om realtime-opdrachtuitvoering mogelijk te maken. De backdoor kan ook verschillende bestandsbewerkingen verwerken, waaronder het lezen, schrijven en wijzigen van bestanden, terwijl het tegelijkertijd het bestandssysteem opsomt om beschikbare mappen en gegevens in kaart te brengen. Bovendien verzamelt het gedetailleerde hostinformatie, waardoor aanvallers inzicht krijgen in het gecompromitteerde systeem. Indien nodig kan SparrowDoor zichzelf zelfs volledig verwijderen, zodat sporen van zijn aanwezigheid worden gewist.

Een modulaire aanpak: de verbeterde versie van SparrowDoor

De tweede, geavanceerdere SparrowDoor-variant introduceert een modulair, plug-in-gebaseerd ontwerp en breidt de mogelijkheden uit met negen gespecialiseerde modules:

  • Cmd – Systeemopdrachten uitvoeren
  • CFile – Bestandsbewerkingen beheren
  • CKeylogPlug – Toetsaanslagen registreren
  • CSocket – Een TCP-proxy instellen
  • CShell – Interactieve shell-sessies starten
  • CTransf – Bestanden overbrengen tussen de geïnfecteerde host en de C&C-server
  • CRdp – Schermafbeeldingen maken
  • CPro – Lijst en beëindig lopende processen
  • CFileMoniter – Volg wijzigingen in het bestandssysteem in specifieke mappen

FamousSparrow: Nog steeds actief, nog steeds in ontwikkeling

Deze recente golf van activiteit bevestigt dat FamousSparrow niet alleen nog steeds actief is, maar ook investeert in de continue ontwikkeling van zijn SparrowDoor-backdoor. Met de introductie van modulaire mogelijkheden en de adoptie van ShadowPad, is de groep duidelijk aan het evolueren, wat een nog belangrijkere cybersecurity-dreiging vormt in de toekomst.

Trending

Meest bekeken

Bezig met laden...